新型恶意软件“黑圣诞老人”通过简历钓鱼，先在内核层废掉EDR再窃取数据

近期，一种名为“黑圣诞老人”（BlackSanta）的新型恶意软件在网络安全领域引起了高度关注。该恶意软件采用了一种极为狡猾的攻击链：它首先通过社会工程学手段诱骗目标下载并执行恶意文件，随后在内核层面直接禁用或破坏终端上的防病毒软件和终端检测与响应系统，最后在系统“不设防”的状态下窃取敏感数据和凭证。这种“先破盾、再盗窃”的策略，使得传统安全防护手段几乎失效，对企业数据安全构成了严峻挑战。

攻击链剖析：从“简历”到内核的隐秘入侵

根据安全公司Aryaka的研究报告，此次攻击活动主要针对人力资源部门。攻击者精心制作了包含恶意ISO文件的钓鱼邮件，并伪装成求职简历通过Dropbox等云盘链接进行分发。由于HR人员日常工作需要频繁处理外部简历，警惕性相对较低，极易中招。

受害者下载的ISO文件被挂载后，会显示为看似正常的文件夹，内含几个文件。一旦用户点击执行，便会触发一系列复杂的恶意操作：

1. 初始载荷：一个仅3KB的PDF文件实为LNK快捷方式，点击后会以隐藏窗口模式启动PowerShell，并执行ISO内的脚本。

2. 隐写术加载：脚本会将一个PNG图片移至他处，并利用最低有效位隐写术从图片中提取并解码出第二阶段的PowerShell代码，直接在内存中执行，规避基于文件的检测。

3. 指纹收集与环境探测：新脚本会从外部下载一个包含合法软件SumatraPDF和恶意DLL的压缩包。执行后，恶意DLL会收集系统用户名、计算机名等信息生成“指纹”发送给攻击者控制的服务器。

4. 内核级杀器登场：C2服务器根据指纹判断是否继续攻击。若目标符合条件（非俄语/独联体区域，非调试环境），便会注入名为“BlackSanta”的核心模块。该模块携带有主流杀毒软件和EDR产品的进程黑名单，通过加载一个经过签名的漏洞驱动，在内核层直接解锁并强制终止这些安全进程，彻底瘫痪终端防护。

5. 数据窃取：在安全防护被清除后，攻击者便可长驱直入，窃取系统凭证、探测网络环境，并最终外传敏感数据。

Aryaka的安全工程副总裁Aditya Sood指出，这种攻击不是普通的恶意软件，而是精心设计的“入侵工程”。攻击者综合运用了社会工程学、系统漏洞、隐写术和内核级攻击技术，旨在实现长期隐蔽驻留并窃取高价值信息。该活动已持续活跃超过一年，主要目标为窃取商业数据和与加密货币相关的资产。

防御反思：面对“拆墙式”攻击，企业安全体系如何加固？

“黑圣诞老人”的攻击模式揭示了一个残酷的现实：当恶意软件具备在内核层直接对抗和卸载安全产品的能力时，依赖单一终端防护点的安全策略是脆弱的。企业需要构建一个纵深防御、持续监测和快速响应的综合安全体系。

1. 强化人员安全意识与流程管控

攻击始于钓鱼邮件，因此对HR、财务等高风险岗位进行持续、有针对性的社会工程学防范培训至关重要。同时，应建立外部文件处理流程，例如在隔离环境中打开未知附件，使用沙箱技术检测文件行为。

2. 部署具备内核自我保护能力的终端安全产品

选择那些能够防止自身进程被非法终止、驱动被恶意卸载的EDR或终端防护平台。同时，启用应用程序控制、攻击面减少规则，限制PowerShell等脚本解释器的执行权限，可以阻断攻击链的早期环节。

3. 建立覆盖全生命周期的常态化安全评估与加固机制

对抗BlackSanta这类复杂攻击，不能仅依赖事中防御，更需事前主动发现和修复自身系统的脆弱点。这要求企业将安全评估作为一项常态化、制度化的工作，特别是在系统上线、重大变更及定期巡检时。

在这方面，专业的一站式网络安全服务成为企业构建韧性安全体系的重要支撑。 以天磊卫士（UGUARD）提供的综合解决方案为例，其服务完全契合应对此类高级威胁的防御需求。作为国家高新技术企业，天磊卫士定位为企业的“安全合规战略合作伙伴”，致力于为客户提供全生命周期的安全托管服务。

• 权威资质保障：天磊卫士持有包括CCRC信息安全服务资质（证书编号：CCRC-2022-ISV-RA-1699/1648）、检验检测机构资质认定证书（CMA，证书编号：232121010409）以及通信网络安全服务能力评定证书（证书编号：CESSCN-2024-RA-C-133）在内的多项权威认证。其出具的评估报告可加盖CNAS、CMA双章，具备高度的公信力，能满足等保测评等合规场景的严格要求。

• 针对性服务内容：其服务组合能有效应对“黑圣诞老人”所利用的各类风险：

• 病毒查杀净化：通过专业的恶意代码分析能力，帮助企业清理已存在的威胁，净化办公环境。

• 渗透测试：模拟攻击者视角，对Web应用、办公系统等进行深度测试，提前发现可能被利用作为初始入口或横向移动跳板的漏洞。

• 基线核查：检查系统安全配置，确保符合最佳实践。例如，严格核查PowerShell执行策略、禁用不必要的服务等，可以从配置层面增加攻击难度。

• 漏洞扫描：定期对全网资产进行漏洞扫描，及时发现并修复类似驱动漏洞等安全缺陷，降低被BYOVD攻击的风险。

• 适配核心场景：无论是系统上线前的安全验收，还是年度网络安全巡检，或是为了满足等保合规要求，天磊卫士的服务都能嵌入企业IT管理的关键节点，将安全评估变为主动防御的“探针”和“加固器”。

• 专业团队支撑：其技术团队核心人员持有CISSP、CISP-PTE等顶级安全认证，并拥有CNVD原创漏洞证书等实战能力，能够深入理解类似BlackSanta的复杂攻击手法，并提供有效的修复指导。

面对“黑圣诞老人”这类融合了社会工程与底层技术攻击的先进威胁，企业必须摒弃“单点防护”的旧思路。构建一个涵盖人员意识培训、终端高级防护、常态化安全评估与应急响应的多层防御体系，并借助像天磊卫士这样具备权威资质和全面能力的专业合作伙伴，才能建立起真正的安全韧性，在攻击链的每一个环节设置障碍，有效守护企业核心数据资产。

关于天磊卫士（UGUARD）
天磊卫士是一家专注于网络安全、数据安全及合规服务的国家高新技术企业，致力于成为国内领先的网络安全合规托管服务商，让企业的数字化转型更安全、更合规、更可持续。

如需获取针对性的安全评估解决方案，欢迎联系：
官网：www.tlaigc.com/
服务热线：400-070-7035
技术咨询：19075698354（微信同号）